Zugriff auf 213J übers Internet

[keinerle]

Guten Abend

Ja, wie oben schon geschrieben würde ich gerne übers Internet auf meine DS zugreifen, bekomm es aber irgendwie nicht richtig hin mit der Portfreigabe und was da noch so alles nötig ist... Netzwerktechnik ist jetzt nicht unbedingt mein Spezialgebiet

DynDNS hab ich über xxx.synology.me schon angelegt

Router ist eine Fritzbox 7330 DS ist eine 213J... OS ist jeweils auf dem Aktuellsten Stand...

Kann mir da einer helfen, was ich wo eingeben muss, damit das ganze geht?? Übers Iphone war das ganze mit Quick-Connect und den entsprechenden Apps relativ leicht^^

Danke schonmal im Vorraus

MfG keinerle

 

[Drausi]

Guten morgen,

ich habe auch die 213j. Am besten ist es du gehst in der Systemsteuerung auf "Router-Konfiguration" und lässt ihn das alles automatisch machen.
Die DS213 sucht dann deinen Router und trägt alle benötigten Ports selber ein.

lg
Jürgen

 

[keinerle]

Das habe ich auch schon mehrfach versucht, aber leider schlägt das jedes mal fehl... Die Fritzbox wird zwar gefunden, aber wenn ich dann auf weiter klicke, dann ist da dann immer ein rotes Kreuz und dahinter steht Portweiterleitung... und weiter gehts dann nicht

Versuche ich es manuell ist die Fritzbox 7330 nicht in der Liste aufgeführt... nur eine 7270 und die 7390 :-( Will ich die Liste aktualisieren dann steht da immer sie sei schon aktuell

 

[laserdesign]

wie schon so oft hier im Forum beschrieben, ist es der beste Weg, das port forwarding manuel im Webfrontend der Fritte einzustellen.

 

[Drausi]

Hmmm.... sieh mal hier nach. Da stehen mal alle benötigten Ports.
Und kannst du dich auf deiner Fritzi einloggen und die Ports weiterleiten?

 

[laserdesign]

@Dorfelsan,

wo soll er nachschauen? da fehlt wohl der Link.

Am besten mal das hier durchlesen.

 

[Drausi]

Ups..... hier: http://www.synology.com/de-de/support/faq/299

 

[keinerle]

Lacht nicht, aber das genau ist ja das Problem... ich weiß nicht wie genau ich diese Portweiterleitung in der Fritzbox einzustellen habe... wie gesagt, Netzwerk ist für mich echt Neuland

Ich weiß zwar genau was ich will, aber eben absolut nicht wie... also ich weiß mittlerweile welche Ports ich weiterleiten muss, aber eben nicht wie und wo genau eingeben... hab schon einiges versucht und hier und da eingetippt aber halt eben alles immer bissle mit ausprobieren und Glück oder auch nicht... vielleicht kennt sich ja einer von euch in der FritzBox-Software aus und würde mich ein klein wenig schlauer machen und aufklären^^

 

[TheGardner]

In einer Fritzbox das einfachste überhaupt. Heimnetz - Freigaben - Portfreigaben und voila, schon biste da.
Dort gibts jetzt den Button Erstellen und dort im Dialog sind zumindest schon der HTTP Server und der FTP Server als vorkonfigurierte Weiterleitungen hinterlegt. wenn Du die nicht nehmen willst bzw. bei allen anderen Weiterleitungen, musst Du im Pulldown Menu immer andere Anwendung wählen und dieser einen Namen geben. Alles andere ergibt sich dann. Hier mal eine Übersicht:

HTTP Server - von Port 80 bis Port 80 und Auswahl des entsprechenden Geräts in Deinem Heimnetz (danach müsste dessen IP Adresse automatisch mit hinterlegt werden) werden weitergeleitet zu Port 80
FTP Server - von Port 21 bis Port 21 und Auswahl des entsprechenden Geräts in Deinem Heimnetz (danach müsste dessen IP Adresse automatisch mit hinterlegt werden) werden weitergeleitet zu Port 21
Passive FTP Verbindung (falls benutzt) - von Port 55536 bis Port 55567 und Auswahl des entsprechenden Geräts in Deinem Heimnetz (danach müsste dessen IP Adresse automatisch mit hinterlegt werden) werden weitergeleitet zu Port 55536 bis 55567

und das so weiter für:

alle Ports, welche Du auch als Firewallregeln definiert hast (Port 5000, 5001, 443, usw...blabla)
SSH Zugriff - von Port 22 bis Port 22 und Auswahl des entsprechenden Geräts in Deinem Heimnetz (danach müsste dessen IP Adresse automatisch mit hinterlegt werden) werden weitergeleitet zu Port 22

 

[keinerle]

JAAAAA... mein Held!!!!!

Also wenn ich jetzt im Iphone zum test xxx.synology.me:5000 eingebe komme ich echt auf meine DS

Jetzt hab ich dann gleich die nächste frage... wenn ich das ganze hinten mit 5001 eingebe steht da was von Bad request... aber in der DS hab ich eigentlichunter Webdienste - HTTP Dienste den Haken bei HTTPS aktiviert... muss ich da noch was beachten, dass ich das ganze über eine SSL Verbindung machen kann?? Port 5001 ist auf der Fritzbox jetzt ja freigeschaltet

PS: Hab grad noch gesehen, dass beim Reiter WEB-DAV die ports 5005 und für geschützt 5006 verwendet werden... hat das damit was zu tun?? Oder muss ich die Ports einfach auch in der Fritzbox weiterleiten??

Sorry für die vielen DAU Fragen...

 

[TheGardner]

Du musst alles in der Fritzbox weiterleiten, wenn Du es nutzt! Wahrscheinlich hast Du es nicht und deswegen steht da auch "Bad Request" Erst wenn in der Fritzbox etwas freigeschaltet/weitergeleitet wurde, kann es auch zur DS durchkommen!
Wenn es dann noch nicht funktioniert, dann muss es noch in der Firewall der DS mit einer Regel freigeschaltet/eingestellt werden!

 

[JudgeDredd]

muss ich da noch was beachten

Ja, im Browser unbedingt das "HTTPS://" vor die URL schreiben.

 

[keinerle]

Ja, im Browser unbedingt das "HTTPS://" vor die URL schreiben.

Danke, das hab ich echt nicht bedacht
Jetzt komm ich zumindest schonmal etwas weiter... wenn ich jetzt https://xxx.synology.me:5001 eingebe steht da jetzt, dass das Zertifikat für diesen Server ungültig ist.
Muss ich da jetzt etwa ein Zertifikat erstellen???????

Und ich dachte bis vor ner Woche noch einschalten und ganz einfach einstellen... jetzt hab ich mir grad erstmal ein EInsteigerbuch über Netzwerktechnik gekauft^^

 

[Peter_Lehmann]

Hallo keinerle,

bevor du dein Vorhaben umsetzt, solltest du dir erst einmal eine Stunde Zeit nehmen und >> das da << durchlesen. Und dann eine weitere Stunde Zeit zum Nachdenken gönnen, ob es wirklich so gut ist, ein NAS ins Internet zu stellen.

Ich möchte dich bei dieser Gelegenheit an deine eigenen Worte erinnern:

Netzwerktechnik ist jetzt nicht unbedingt mein Spezialgebiet

Viel Spaß mit deiner DS!

MfG Peter

 

[keinerle]

Danke für den Link... hört sich wirklich nicht gut an...

Sensible Daten sind auf der Festplatte nicht... hauptsächlich Filme, paar Bilder und Musik... und alles ist trotzdem noch über eine USB-Festplatte als Backup gespeichert...

Das übers Internet war eigentlich schon einer der Gründe für mich für ein Nas, da ich auch vom Geschäft aus mal gerne was drauf lade oder innerhald der Familie das ganze zum Datenteilen genutzt wird... ne Cloud ala Dropbox kommt nicht in Frage, da einfach zu klein oder bei genug Platz eben zu teuer^^

Genau aus dem Grund ersuche ich ja jetzt hier Hilfe um nichts falsch zu machen... und darum möchte ich das ganze ja auch via SSL wenigstens etwas absichern

Aber trotzdem danke für deinen Link, werd ich mir heut abend nochmal ganz genau durchlesen

 

[JudgeDredd]

Also Grundsätzlich ist es ja ok, wenn man seine Daten auch im Internet zur Verfügung stellt. Man muss ja auch nicht gleich sämtliche Dienste auf der DS weiterleiten.
Zu Deiner SSL Verbindung gilt:
Auch wenn die Warnung des Browsers kommt und diese mit sowas wie "ist mir doch egal ... weitermachen" bestätigt wird, hat man eine SSL Verschlüsselung.
Um diese Warnung weg zu bekommen, braucht es dann aber ein Zertifikat. An der Verschlüsselung der Verbindung ändert dies aber dann nichts.
Vielleicht reicht es Dir ja, wenn Du ab jetzt weisst, das auch bei Warnungen verschlüsselte Verbindungen bestehen. Wenn nicht, dann mal etwas Basiswissen zu den Zertifikaten:

Zertifikate bestätigen den Namen der URL die Du aufgerufen hast.
Bei Auslieferung der DS (also bei dem Kauf durch Dich) identifiziert sich diese als "synology.com".
Da Deine DS aber unter "xxx.synology.me" erreichbar ist, "denkt" der aufrufende Browser, "hoppla, ich will nach xxx.synology.me und lande bei synology.com, BETRUG!" und schmeisst die Warnung aus."
So, nun ist es also an Dir, sich ein Zertifikat zu besorgen, das bestätigt, das Du "xxx.synology.me" bist.
Ich kürze nun etwas ab ... das klappt nicht, weil Du nicht Eigentümer von "synology.me" bist.
Also brauchst Du zu aller erst eine eigene Domain.
Die gibt es ja überall (von 1&1 über selfhost und domainfactory etc ...) zu unterschiedlichen Preisen. Du sucht Dir also irgendwas passendes raus was als minimum ein Domain-hosting enthält.
Die Registrierung bei DeNic geht auch, kostet aber das vielfache.
Dann würdest Du dort noch eine Subdomain erstellen (das ist das was das "xxx" bei Dir ist) und genau dafür dann wiederum ein Zertifikat.
Da diese Subdomain dann nun endlich eine Konstante URL ist, bei der auch die SecondLevelDomain (das ist das was das "synology" bei Dir ist) Dein Eigentum ist, muss nun noch eine Modifizierung im DNS Eintrag vorgenommen werden,
welcher dann auf die "xxx.synology.me" verweist (Stichwort CNAME).
Am Ende dieser Groben Beschreibung haben wir dann also eine DS mit Zertifikat auf (das was Du Dir ausgesucht hast).

Wenn jetzt jemand (das was Du Dir ausgesucht hast) im Browser eingibt, dann wird er auf xxx.synology.me verwiesen und von dort auf Deine dynamische IP.
und da die DS sich jetzt als (das was Du Dir ausgesucht hast) ausgibt und die Person am Browser (das was Du Dir ausgesucht hast) eingibt, erscheint auch keine Warnung mehr ....

 

[Peter_Lehmann]

Hallo keinerle,

ich möchte dir noch einmal antworten.
Auf keinem Fall möchte ich dir "verbieten" dein NAS ins Internet zu stellen. Es ist dein Gerät, es sind deine Daten, du bist erwachsen, und du hast das Recht, die beworbene Funktion eines kommerziellen Gerätes zu nutzen. Keine Frage!
Du solltest nur wissen, dass nicht jede mögliche Funktion auch unbedingt empfehlenswert ist. Und auch dass es schon "kleine" Unterschiede zwischen einem kleinen für Home- und SOHO-Nutzung im LAN konzipierten Serverchen und einem professionell konfigurierten und vor allem auch betriebenen (!) "richtigen" Web-, ftp- Mail- usw.- Server gibt.
Oder anders gesagt, ein User, welcher irgend einen Dienst ins "böse" Netz stellt, sollte immer zwischen dem Nutzen und den Risiken seines Tuns und auch seinen eigenen Kenntnissen abwägen!

Sensible Daten sind auf der Festplatte nicht... hauptsächlich Filme, paar Bilder und Musik...

OK, dann musst du dir um den Bestand an Daten keine großen Sorgen machen (auch das gehört ja zu meinem vorigen Satz). Ich gehe einfach auch mal davon aus, dass du dir keine Sorgen wegen des Besitzes dieser Daten machen musst ;-)

Jemand, der einen Server ins Netzt stellt, sollte aber auch immer daran denken, dass es nicht nur schnöde Datendiebe gibt, sondern dass heute vielmehr die Gefahr davon ausgeht, dass Verbrecher (!) die aus dem Netz erreichbaren Server manipulieren und deren Rechenleistung für eigene Zwecke missbrauchen. Den Missbrauch der Rechenleistung dieser Zwerge zum "Minen" betrachte ich wohl als die schlechteste Anwendung für den Missbrauch. Glaube kaum, dass sich das lohnt. (Vielleicht war dieser Angriff auch nur ein "Proof of Concept, und das "dicke Ende" kommt erst noch?)
Aber denken wir nur an das illegale Hosten und Verteilen gesetzeswidriger und somit Ärger bereitender Daten, an das Einbinden in Botnetze zum Verspammen der Umwelt und sogar für DDOS-Angriffe. Gerade NAS sind für derartige Fremdnutzung dankbare Objekte, denn bei der Masse ihrer Nutzer werden sie wohl 1x schnell konfiguriert, in die Ecke gestellt und dann laufen sie, bis sie irgend wann einmal kaputt gehen oder kurz vorher noch verkauft werden.

und darum möchte ich das ganze ja auch via SSL wenigstens etwas absichern

Manche überschätzen das etwas ... .
Mit der Verschlüsselung der Verbindung erreichst du nicht mehr und nicht weniger, dass die gerade bestehende Verbindung durch "Dritte" nicht (so einfach!) mitgelesen werden kann. Was den Zugang zu deiner DS betrifft, bringt dir das überhaupt nichts. Trotzdem: wo möglich sollte man immer verschlüsseln!


So, ich will aber nicht nur den Zeigefinger schwingen! Ich will dir auch helfen, über Lösungen nachzudenken!

Auch ich nutze selbstverständlich meine privaten NAS zum Übertragen von Daten übers I-Net.
Deshalb sollte bei derartigen Ansinnen immer zuerst die Frage stehen, wer soll zugriffsberechtigt sein:
- Jeder, der will (Nutzung als öffentlicher Webserver, öffentliche Fotostation, ftp-Server, Server für einen öffentlichen Blog, usw.), oder
- ein sehr eingeschränkter bekannter Personenkreis. (eigenes bzw. innerhalb der Familie befindl. Smartphone, Notebooks, Verwandte und gute Bekannte, usw. Um die ~10 Nutzer)

Bei der ersten Nutzungsvariante kannst du selbstverständlich bewusst mit dem Risiko leben. Solltest natürlich bei den zu speichernden Daten nur welche auf der NAS haben, die du auch freigeben kannst, und deren evtl. Verlust du verschmerzen kannst, bzw. die dir keinen Ärger bereiten können. Und dann natürlich auch ab und an in die Logs sehen, regelmäßig patchen und auch Warnungen aus dem Forum ernst nehmen. Gerade diese Hinweise sind "Gold wert"!

Bei der zweiten Variante solltest du über eine VPN-Lösung nachdenken. Es ist einfacher als du denkst, ein VPN für ~10 ext. Nutzer einzurichten. Jedes gängige Smartphone, jedes Notebook kann darauf zugreifen. Und einzurichten geht es über jede einigermaßen aktuelle Fritz-Box. (=> www.ip-phone-forum.de). Oder du schaltest dir meinetwegen auch ein "Kryptogateway" in Form eines RasPi dazwischen (=> www.jankarres.de ...uvam.)
Dann hast du wirklich alles getan, was uns als privaten Anwendern möglich und zumutbar ist.


OK?


MfG Peter

 

[muthelm]

Hallo keinerle,

du mußt alle Ports freigeben, deren Dienste du auch nutzen willst. Also wenn du WebDAV nutzen willst und die über Port 5005 und 5006 laufen, dann mußt du diese auch in deiner FritzBox freigen.
Denke aber daran, je mehr du dein System öffnest, desto angreifbarer wird es. Mit WebDAV habe ich keine Erfahrung. Ich habe nur den Zugriff per Webbrowser auf meine NAS, also ähnlich wie bei dir.

Den Zugriff über ....dyndnw.org:5001 (https) brauchst du garnicht versuchen. Nimm den Port 5000, oder sogar 80, falls du den auch weitergeleitet hast. Die NAS regelt das dann automatisch. Auch nicht wundern, falls du eine Fehlermeldung bzgl. Zertifikate bekommst. Diese kriegst du, weil du per HTTPS auf dein System zugreifst, da wird ein Sicherheitszertifikat verlangt. Bringt dir aber nur bei einer festen IP-Adresse was, soweit ich weiß.

Gruß

muthelm

Edit: Die Post der zweiten Seite habe ich übersehen, also sorry, sollte ich mich wiederholt haben.
Das VPN würde ich ebenfalls empfehlen.